diehilde
Goto Top

IP Spoofing noch relevant?

Hallo,

bei uns sollen für einen externen Dienst Portweiterleitungen für den SSH- und https-Zugriff auf unseren Server eingerichtet werden. Statt einem VPN-Tunnel soll lediglich eine Zugriffsbeschränkung auf ein paar IP-Adressen der Gegenseite zur Absicherung dienen. Die zugriffsberechtigten IP-Adressen sind leider auch nicht geheim, ein potenzieller Angreifer könnte diese eher leicht herausfinden.

Dieses Szenario bereitet mir etwas Sorge, da nicht ganz klar klar ist, ob IP-Spoofing heute bei TCP-Verbindungen noch ein Thema ist. Wäre ein Angriff mittels IP-Spoofing bei Kenntnis der Zugriffsberechtigten IPs heute ohne weiteres möglich?

Vielen Dank vorweg!

Hilde

Content-ID: 4630440128

Url: https://administrator.de/forum/ip-spoofing-noch-relevant-4630440128.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

aqui
aqui 14.11.2022 aktualisiert um 16:23:03 Uhr
Goto Top
soll lediglich eine Zugriffsbeschränkung auf ein paar IP-Adressen der Gegenseite zur Absicherung dienen
Und das sind dann immer feste statische IPs? Ansonsten wäre das sinnfrei.
Dieses Szenario bereitet mir etwas Sorge
Das sollte es auch und die Sorge ist berechtigt. Port Forwarding in einem Firmennetz ist (fast) immer ein gravierender Verstoß gegen Sicherheitspolicies.
Heutzutage prasseln Portscanner und Sniffing Tools im Subsekundenbereich auf öffentliche IPs ein. Damit dann solche Löcher in Firewalls zu bohren zeugt eher von wenig Datenschutzbewusstsein um es mal vorsichtig zu formulieren. Den Rest kannst du dir dann sicher denken...
diehilde
diehilde 14.11.2022 um 16:26:09 Uhr
Goto Top
Ja, das sind statische IPs.

Portscanner sollten dann nichts zu sehen bekommen, meine Sorge bezeiht sich auf einen gezielten Angriff mit durch Spoofing gefälschten IPs.
C.R.S.
Lösung C.R.S. 14.11.2022 um 18:21:52 Uhr
Goto Top
Zitat von @diehilde:

Dieses Szenario bereitet mir etwas Sorge, da nicht ganz klar klar ist, ob IP-Spoofing heute bei TCP-Verbindungen noch ein Thema ist. Wäre ein Angriff mittels IP-Spoofing bei Kenntnis der Zugriffsberechtigten IPs heute ohne weiteres möglich?

Daran hat sich nichts geändert, das hängt vom Dienst ab. Ein Server versucht, ein eingehendes Datenpaket entsprechend seinem Protokoll zu verarbeiten. Wenn er in diesem Schritt eine Schwachstelle aufweist, ist er verwundbar, sobald ihn Datenpakete erreichen, was durch IP-Spoofing erzielt werden kann.

Grüße
Richard
108012
108012 14.11.2022 um 22:26:15 Uhr
Goto Top
Hallo,

bei uns sollen für einen externen Dienst Portweiterleitungen für den SSH- und https-Zugriff auf
unseren Server eingerichtet werden.
Von was für einem Server sprechen wir denn hier? Linux, BSD, MS Windows oder Solaris?
Was bietet der denn für Dienste an? FTP, HTTP oder Fileserver?

Statt einem VPN-Tunnel soll lediglich eine Zugriffsbeschränkung auf ein paar IP-Adressen der
Gegenseite zur Absicherung dienen.
Also je nachdem was das denn nun für ein OS und Server ist, würde ich das wohl eher per VPN machen wollen.
Ansonsten kann man auch noch an folgendes denken;
  • Server in eine DMZ
  • Radius Zertifikate einsetzen
  • Reverse Proxy vor den Servern
  • Fail2ban auf den Servern installieren (je nach OS)
  • Public IPs auf der Firewall und Weiterleitung konfigurieren
  • IDS/IPS vor der DMZ Port einsetzen oder gar in der DMZ direkt selber

Die zugriffsberechtigten IP-Adressen sind leider auch nicht geheim, ein potenzieller Angreifer könnte
diese eher leicht herausfinden.
Ok und bei einem VPN das mit Zertifikaten abgesichert ist kommt er dann mittels Eurem WLAN in die
Firma rein.

Dieses Szenario bereitet mir etwas Sorge, da nicht ganz klar klar ist, ob IP-Spoofing heute bei
TCP-Verbindungen noch ein Thema ist.
Je nach dem.

Wäre ein Angriff mittels IP-Spoofing bei Kenntnis der Zugriffsberechtigten IPs heute ohne weiteres möglich?
Und noch mehr.

Dobby
aqui
aqui 18.11.2022 um 16:46:38 Uhr
Goto Top
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
diehilde
diehilde 20.11.2022 um 21:52:51 Uhr
Goto Top
Vielen Dank an alle für die Inputs! IP-Spoofing scheint weiter ein ungelöstes Problem zu sein. Daher kommt für unsere Zwecke nur eine VPN-Verbindung in Frage.